简介：
某单位安全运维人员在夜间捕获了一个数据包和一个恶意IP，请你分析数据包结合IP回答相应问题
1.溯源反制，提交黑客CS服务器的fag.txt内容
2.黑客攻击主机上线时间是？(flag{YYYY-MM-DD HH:MM:SS})
3.黑客使用的隧道payload名字是什么？
4.黑客获取到当前用户的明文密码是什么？
5.黑客为了得到明文密码修改了什么？（提交flag{md5(执行的命令)}）
6.黑客下载的文件名称是什么？
7.黑客下载的文件内容是什么？
8.黑客上传的文件内容是什么？
9.黑客截图后获取到用户正在使用哪个软件？
10.黑客读取到浏览器保存的密码是什么？
11.黑客使用键盘记录获取到用户打开了什么网站？（提交网站域名）

1.

溯源反制，提交黑客CS服务器的fag.txt内容

使用fscan扫描c2主机，发现有docker-api未授权和go-pprof泄露

我们发现有一个nginx镜像

启动一个容器，/bin/bash作为shell启动，并且将该宿主机的根目录挂在到容器的/mnt目录下

docker -H tcp://x.x.x.x:2375 run -it -v /:/mnt nginx /bin/bash

运行后，得到一个容器的shell，我们将公钥写到容器的/mnt/root/.ssh/authorized_keys文件中

然后用ssh公钥登陆即可逃逸到宿主机，读取用户目录下的flag.txt

flag{6750ac374fdc3038a67e95e1f21d455c}

‍

2.

黑客攻击主机上线时间是？(flag{YYYY-MM-DD HH:MM:SS})

过滤http流量，发现application/octet-stream类型的消息、base64编码的cookie等CS的流量特征

两次请求间隔一分钟，符合默认的sleep时间

提交第一次请求的时间即可，Feb 12, 2025 20:12:52.048086000 中国标准时间

flag{2025-2-12 20:12:52}

‍

3.

黑客使用的隧道payload名字是什么？

我们在c2主机的/opt目录发现cs的server，找到.cobaltstrike.beacon_keys密钥

使用工具分析下beacon的信息即可，工具地址：https://github.com/minhangxiaohui/CSthing

flag{windows-beacon_http-reverse_http}

‍

4.

黑客获取到当前用户的明文密码是什么？

首先要拿到一个叫做协商密钥的东西，这个密钥和主机信息在进行RSA公钥加密之后，会放到心跳包的Cookie信息中，我们解密cookie得到协商密钥

指定rawkey分析数据包

第一次通过mimikatz sekurlsa::logonpasswords没有获取到明文密码

修改注册表使系统存储明文密码，等待用户重新登陆

再次执行mimikatz sekurlsa::logonpasswords获取到明文密码

flag{xj@cs123}

‍

5.

黑客为了得到明文密码修改了什么？（提交flag{md5(执行的命令)}）

由上题可知修改了注册表，命令为/C reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

flag{73aeb8ee98d124a1f8e87f7965dc0b4a}

‍

6.

黑客下载的文件名称是什么？

后面有文件下载 xxx服务器运维信息.xlsx

flag{xxx服务器运维信息.xlsx}

‍

7.

黑客下载的文件内容是什么？

脚本会提取文件，找到对应的文件，将后缀修改成xlsx即可

flag{752fe2f44306e782f0d6830faad59e0e}

‍

8.

黑客上传的文件内容是什么？

同样查看上传的文件，这里用010打开，发现是分段上传，我们删除多余的头部即可

是一样png图片，底部有flag

flag{Hacker}

‍

9.

黑客截图后获取到用户正在使用哪个软件？

脚本导出的jpg即是截图

flag{chrome}

‍

10.

黑客读取到浏览器保存的密码是什么？

flag{0f338a1a6ad8785cee2b471d9d3e9f91}

‍

11.

黑客使用键盘记录获取到用户打开了什么网站？（提交网站域名）

flag{xj.edisec.net}

‍